蕭簫 發(fā)自 凹非寺
量子位 報道 | 公眾號 QbitAI
蘋果新出的M1系列,正被惡意軟件“盯上”。
現(xiàn)在,一個名為“銀絲雀”(Silver Sparrow)的新型惡意軟件,已經(jīng)悄悄入侵了全球153個國家的30000臺Mac。
傳播之廣、行動之隱蔽,幾乎讓網(wǎng)絡安全專家們措手不及。
而且,他們不僅無法掌控“銀絲雀”的傳播途徑,也還不清楚它的最終目的。
換而言之,它不僅隨時可能“自爆”,而且還能在“作案”后,無痕刪除自己。
隨時“自爆”的炸彈
這個名為“銀絲雀”的新型惡意軟件,獨特在什么地方?
首先,這是個用JavaScript編寫的惡意軟件,這對于MacOS來說非常罕見。
此外,它還特意為M1更新了一版軟件。現(xiàn)在的兩版軟件中,一個針對Intel系列Mac設備,另一個則針對基于M1的、以及舊版的Mac設備。
這個軟件的傳播速率高、覆蓋率廣、M1兼容性強,運行效果也良好,最關鍵的是,目前專家尚未發(fā)現(xiàn)它是如何傳播的。
專家發(fā)現(xiàn),“銀絲雀”的基礎設施托管在亞馬遜云平臺(Amazon Web Services s3)上,這是大多數(shù)公司都在使用的云資源。
“銀絲雀”的可怕之處在于,安全研究人員發(fā)現(xiàn),它現(xiàn)在還在蟄伏期(尚未發(fā)現(xiàn)其有效載荷)。
目前,解析兩個版本的文件結(jié)果,僅是這樣的(略帶惡意):
而且,“銀絲雀”還具有“自毀”程序,可以在事后刪除自己,不留任何痕跡。
這款惡意軟件只是每小時向服務器發(fā)送一條消息,還沒有任何大動作,但是一旦滿足觸發(fā)條件,將產(chǎn)生嚴重后果。
如何檢查自己的Mac
截至目前,研究人員還不知道“銀絲雀”使用的是什么攻擊向量 (attack vector)。
攻擊向量指一種路徑或手段,黑客可以通過它訪問計算機或網(wǎng)絡服務器,以傳遞有效負載或惡意結(jié)果。
因此,目前還不清楚“銀絲雀”的攻擊目標是什么,僅能推測它可能是一款惡意廣告軟件。
不過他們發(fā)現(xiàn),“銀絲雀”會在~/Library/LaunchAgent文件夾下生成plist文件。
也就是說,只要看到這個文件,你的電腦就已經(jīng)被感染了。
那么,真的就沒有任何防范措施了嗎?
一位HN網(wǎng)友給出了幾點基礎的建議。
首先,保持操作系統(tǒng)、瀏覽器及其他軟件的更新。此外,可以在瀏覽器中安裝uBlock Origin,這是個過濾瀏覽器內(nèi)容的擴展程序,以及AdGuard Home等廣告攔截器。
其次,安裝一款防火墻,這位網(wǎng)友推薦了Little Snitch,可用于監(jiān)視應用程序,以阻止或允許它們通過高級規(guī)則連接到網(wǎng)絡。(某些惡意軟件檢測到Little Snitch時,還會自動刪除)
最后,不要從不明來源安裝軟件。
無獨有偶
“銀絲雀”并非第一款針對M1系列Mac的惡意軟件。
事實上,就在一周前,還有人發(fā)現(xiàn)了另一款針對M1的惡意軟件GoSearch22。
這是一個惡意廣告軟件Pirrit的“升級版”,針對M1搭載的ARM64架構,對軟件進行了對應的修改。
GoSearch22能夠持續(xù)攻擊Mac設備,且普通用戶難以將其刪除。
它會將自己隱蔽成一個“瀏覽器擴展程序”,從Safari、Chrome等Mac瀏覽器上搜集數(shù)據(jù),然后強制展示優(yōu)惠券、廣告橫幅和惡意彈窗。
研究人員推測,GoSearch22的目的,是從廣告、用戶搜索結(jié)果中牟利,此外,也可能在未來開發(fā)出更多惡意功能。
目前,蘋果已經(jīng)撤銷了Pirrit開發(fā)商使用的開發(fā)者證書。
但這些惡意軟件接二連三地出現(xiàn),也在逼迫著殺毒引擎進行升級。
殺毒軟件亟待升級
就在上周,專家們利用GoSearch22,對一系列殺毒引擎進行了“測試”。
他們發(fā)現(xiàn),竟然有接近15%的殺毒引擎,沒能檢測出GoSearch22的存在,但基本都能檢測出它的上一個版本Pirrit。
也就是說,已有的殺毒引擎,仍然在針對x86_64平臺進行防護,然而對于根據(jù)ARM架構編寫的惡意軟件,卻沒有“招架之力”。
意味著,這些針對x86_64平臺編寫的病毒分析工具或防病毒引擎,可能無法處理ARM64二進制文件。
因此,能否檢測出這些為ARM架構編寫的惡意軟件(“銀絲雀”、GoSearch22等),已經(jīng)成為殺毒軟件評判的新標準。
在殺毒軟件與惡意軟件的“博弈”之下,如何進行軟件安全迭代升級?
M1還有很長的路要走。
